Kişisel Verileri Koruma Kurulu (“Kurul”), on yeni özet karar yayımladı:
- 2020/216 sayılı Karar Özeti: Veri sorumlusu nezdinde gerçekleşen siber saldırıya ilişkin olarak Kurul, (i) veri sorumlusu tarafından sistemde saldırganlar tarafından erişilen verilerin neler olduğunun ve hangi kişisel verilerin etkilendiğinin tespit edilemediği, (ii) sistemde 65.993 kişinin yer aldığı, bu kişilerden 1.784 tanesinin eski kimlik fotokopisinin arkalı önlü yüzünün bulunduğu (iii) ayrıca 50.000 kredi kartı bilgisi yer aldığı, (iv) ihlal sonrası sızma testinde web uygulamalarında yüksek ve orta seviyede açıklıkların tespit edildiği, herhangi bir aydınlatma metninin bulunmadığı hususlarına dikkate alarak 450.000 TL para cezasına hükmetmiştir.
- 2021/407 sayılı Karar Özeti: Karara konu olayda hastanede çalışan hekim, hastalarına ait dosyaları arşivden alarak kendisinin talimatıyla bazı hastane çalışanları aracılığıyla hastane dışına çıkarmıştır. Veri ihlali, dosyaları hastane dışına çıkarmaya teşebbüs eden bir çalışanın görülmesinden 17 gün sonra kamera kayıtlarının incelenmesi neticesinde tam olarak tespit edilebilmiştir. Kurul, hasta kayıtlarının tamamının geri alınamaması, ihlal özel nitelikli kişisel veriler dahil verilerin etkilenmiş olduğu, çalışanlara gerekli eğitimin verilmediği, ihlalin şüphenin ortaya çıkmasından 17 gün sonra tespit edildiği, arşiv odasına yetkisiz kişilerin erişimi bulunduğu oluşturulan politika ve prosedürlere uyulmadığı ve ihlalin en kısa sürede bildirilmediği hususlarını dikkate alarak, 600.000 TL idari para cezasına hükmetmiştir.
- 2021/464 sayılı Karar Özeti: Karara konu ihlal, veri sorumlusu Sigorta şirketinin bir acentesinde işletmelerine ait bilgisayar ekranına bir hacker tarafından erişim sağlanmasıyla gerçekleşmiştir. Kurul, veri işleyen sigorta acentesinin veri sorumlusu sigorta şirketi tarafından yeterli şekilde denetlenmemesi, herhangi bir kişisel veriye erişilip erişilmediğinin tespit edilememesi, acente çalışanlarına yeterli eğitim verilmemiş olması, eski tarihli yazılım kullanılması, antivirüs yazılımı kullanılmaması hususlarını dikkate alarak 60.000 TL para cezasına hükmetmiştir.
- 2020/466 sayılı Karar Özeti: Karara konu ihlal, çalışanların e-posta adreslerine bir başka çalışanın bordrolarının gönderilmesi suretiyle gerçekleşmiştir. Kurul, çalışanlara kurumsal e-posta adresi açılmayarak bordroların çalışanların bildirdiği farklı e-posta sunucuları nezdinde sahip olunan e-posta adreslerine gönderildiği, veri sorumlusu tarafından risk değerlendirmesi yapılmadığı, aydınlatma metninde söz konusu hususa dair yeterli açıklama bulunmadığı hususlarını dikkate alarak 172.000 TL para cezasına hükmetmiştir.
- 2020/511 sayılı Karar Özeti: Karara konu ihlal, kişi bazında kimlik ve ilaç kullanım bilgilerinin hata sonucu 11 adet sigortalının erişimine açılması suretiyle gerçekleşmiştir. Kurul, ihlalin 7 ayı geçkin bir süre devam etmesi ve ancak erişim sağlayan sigortalının bildirilmesi sureti ile ihlalin farkına varılması, ihlalden özel nitelikli kişisel veriler dahil kişisel verilerin etkilenmesi, zafiyet taraması yapılmaması, sistem hatasının gerçekleşmemesi için gerekli güvenlik önlemlerinin alınmaması hususlarını dikkate alarak 100.000 TL para cezasına hükmetmiştir.
- 2020/744 sayılı Karar Özeti: Karara konu ihlal, veri sorumlusu banka çalışanının bankaya ait kişisel verileri üçüncü kişilerle paylaşması suretiyle gerçekleşmiştir. Kurul, çalışanlara eğitim verilmiş olmasına rağmen ihlalin gerçekleşmesi sebebiyle eğitim içeriğinin yetersiz olduğuna dair şüphe oluştuğu, kişisel verileri içeren e-postanın kurum dışına gönderilmesi esnasında e-postanın sızıntı önleme sistemleri (“DLP”) tarafından durdurulmadığı, veri ihlalinin süresi içerisinde bildirilmediği hususlarını dikkate alarak 275.000 TL para cezasına hükmetmiştir.
- 2021/154 sayılı Karar Özeti: Karara konu ihlal, eski bir çalışanının görevi gereği erişimi bulunan bazı müşterilere ait kişisel verileri kurumsal e-posta adresinden G-mail uzantılı şahsi e-posta adresine iletmesi suretiyle gerçekleşmiştir. Kurul, ihlalin veri sorumlusu tarafından değil, çalışanın bir sonraki işyerindeki yetkililer tarafından fark edildiği, DLP sisteminin söz konusu verilerin sızdırılmasını engellemediği, yeterli eğitimin verilmediği hususlarını dikkate alarak 150.000 TL para cezasına hükmetmiştir.
- 2021/187 sayılı Karar Özeti: Karara konu ihlal, veri sorumlusunun bilgi sistem destek hizmeti aldığı veri işleyende meydana gelen sistemsel bir hata sonucu 681 ilgili kişinin kişisel verilerini, diğer müşterilere göndermesi sonucu meydana gelmiştir. Kurul, uygulamada var olan hatanın uygulama işleme alınmadan önce tespit edilmediği, ihlalin 2 yıl sonra fark edildiği, veri sorumlusu tarafından kendiliğinden fark edilmediği hususlarını dikkate alarak 125.000 TL para cezasına hükmetmiştir.
- 2021/190 sayılı Karar Özeti: Karara konu ihlal, bir şube çalışanının müşterinin kimlik görüntüsünü amacı dışında gözlemlemesi, şahsi cep telefonu ile fotoğrafını çekmesi ve üçüncü kişiyle paylaşması suretiyle gerçekleşmiştir. Kurul, verilen eğitimlere rağmen yeterli farkındalığın çalışan nezdinde sağlanmadığı, ihlal öncesinde takım liderlerinin müşteri verilerini istedikleri zaman istedikleri sıklıkta görüntüleyebildikleri, kota uygulaması bulunmadığı, ihlal öncesinde herhangi bir uyarı sistemi bulunmadığı hususlarını dikkate alarak 100.000 TL para cezasına hükmetmiştir.
- 2021/311 sayılı Karar Özeti: Karara konu ihlal, veri sorumlusunun web sitesinde yapılan değişiklik sonucunda web sitesi üyelerinin web sitesine giriş yaptıklarında başkasına ait üye bilgilerine ulaşması suretiyle gerçekleşmiştir. Kurul, kaç kişinin verilere eriştiğinin belirlenememesi, sitede yapılan değişikliğin siteye en düşük girişin olduğu zaman diliminde değil yoğun saat diliminde uygulamaya alınması, şifreleme ve maskeleme önlemlerinin alınmaması hususlarını dikkate alarak 200.000 TL para cezasına hükmetmiştir.
